WhatsApp et RGPD : guide de conformité 2026
WhatsApp et RGPD : sous-traitance Meta, transferts hors UE, carnet de contacts, prospection et chiffrement. Le guide pour l'utiliser en conformité.
- WhatsApp Business n’est pas WhatsApp tout court
- Meta est votre sous-traitant — mais pas seulement
- Le chiffrement de bout en bout protège le contenu, pas le contexte
- Le carnet de contacts : le risque que personne ne regarde
- Transferts hors UE : Meta Irlande ne ferme pas la question
- Prospection : un message WhatsApp est une prospection électronique
- Information, conservation, registre : le triptyque à ne pas oublier
- Ce qu’il faut retenir
- FAQ
En 2021, l’autorité irlandaise de protection des données infligeait 225 millions d’euros à WhatsApp Ireland pour un défaut d’information sur le traitement des données — l’une des plus lourdes amendes RGPD jamais prononcées. Cinq ans plus tard, la messagerie de Meta reste l’angle mort des PME : on l’utilise pour confirmer un rendez-vous, relancer un devis ou échanger avec un client, sans jamais l’inscrire au registre des traitements.
Voici un cadre opérationnel pour utiliser WhatsApp dans un contexte professionnel sans sortir des clous du RGPD, en distinguant ce que le chiffrement protège de ce qui reste votre responsabilité.
WhatsApp Business n’est pas WhatsApp tout court
Première distinction à poser, car elle commande tout le reste. Il existe deux outils professionnels très différents. L’application WhatsApp Business, gratuite, s’installe sur un smartphone et vise les TPE et indépendants : elle reprend l’interface grand public en y ajoutant un profil d’entreprise, des réponses automatiques et un catalogue. La WhatsApp Business Platform (l’API), elle, s’adresse aux structures plus grandes : elle s’intègre à un CRM ou à un outil de support via un fournisseur tiers (Twilio, 360dialog, Brevo et autres), avec des engagements contractuels adaptés.
Utiliser son WhatsApp personnel pour discuter avec des clients est la pire des configurations : aucune séparation des données, aucun cadre contractuel, et un mélange des sphères privée et professionnelle qui rend toute conformité illusoire. Le premier réflexe est de bannir cet usage et d’encadrer le canal dans votre charte informatique.
Meta est votre sous-traitant — mais pas seulement
Dès qu’un échange WhatsApp contient des données personnelles — un numéro, un nom, l’objet d’une commande, l’état de santé d’un patient —, vous en déterminez la finalité et les moyens. Vous êtes le responsable de traitement au sens de l’article 4(7) du RGPD. Meta Platforms Ireland, qui héberge et achemine ces messages pour votre compte, agit comme votre sous-traitant au sens de l’article 28 du RGPD — à condition que vous ayez accepté les conditions professionnelles applicables (Business Terms et addendum de traitement des données).
Mais la qualification s’arrête là où commencent les finalités propres de Meta. Le groupe traite les métadonnées de vos échanges — qui communique avec qui, quand, à quelle fréquence, depuis quel appareil — pour ses propres besoins : sécurité, mesure, amélioration de ses services. Pour cette part, Meta n’agit plus sur vos instructions : il devient responsable de traitement indépendant. C’est exactement le type de zone grise qu’il faut documenter, car vous ne maîtrisez ni cette finalité ni les données qui l’alimentent.
Le chiffrement de bout en bout protège le contenu, pas le contexte
WhatsApp chiffre les messages de bout en bout : ni Meta ni un tiers ne peuvent lire le contenu d’une conversation en transit. C’est une garantie réelle, qui répond à une partie des exigences de l’article 32 du RGPD sur la sécurité du traitement.
Cette protection ne doit pas masquer ce qu’elle ne couvre pas. Les métadonnées ne sont pas chiffrées de la même manière : numéros, horodatages, données d’usage restent accessibles à Meta. Surtout, le chiffrement protège le message en transit, pas l’appareil : un smartphone non verrouillé, partagé ou perdu expose l’intégralité des conversations. Les sauvegardes dans le cloud (Google Drive, iCloud) ont par ailleurs longtemps échappé au chiffrement par défaut — un point à vérifier et à paramétrer. La sécurité de l’article 32 se joue donc autant sur la configuration de vos terminaux que sur la technologie de la messagerie.
Le carnet de contacts : le risque que personne ne regarde
C’est, dans mon expérience d’audit, le manquement le plus systématique. Pour fonctionner, WhatsApp (y compris l’application Business) demande l’accès à votre carnet d’adresses et téléverse les numéros de vos contacts sur les serveurs de Meta. Or ces numéros ne sont pas les vôtres : ce sont les données personnelles de tiers — vos clients, vos prospects, vos fournisseurs — que vous transmettez à Meta sans leur consentement et sans les en informer.
Cette transmission constitue un traitement à part entière. Il vous faut une base légale (Art. 6(1)) pour le justifier, et une obligation d’information envers ces personnes (Art. 14), puisque les données n’ont pas été collectées directement auprès d’elles. Dans la pratique, ces deux conditions sont quasi impossibles à satisfaire pour un carnet professionnel synchronisé. La parade : utiliser un appareil ou un profil dédié, ne pas synchroniser le carnet de contacts personnel ou professionnel global, et limiter l’application aux seuls numéros pour lesquels un échange est attendu.
Transferts hors UE : Meta Irlande ne ferme pas la question
Meta Platforms Ireland est l’établissement européen — un argument de réassurance fréquent. Il ne suffit pas à écarter la question du transfert. Les données transitent vers Meta Platforms, Inc. aux États-Unis, soumise au CLOUD Act et à la législation extraterritoriale américaine. Le transfert repose aujourd’hui sur la certification de Meta au titre de l’EU-US Data Privacy Framework, complétée le cas échéant par des clauses contractuelles types, conformément aux articles 44 à 49 du RGPD.
La fragilité de ces mécanismes n’est pas théorique : en 2023, Meta a été sanctionnée de 1,2 milliard d’euros pour des transferts vers les États-Unis jugés non conformes avant l’adoption du cadre actuel. La bonne pratique consiste à documenter, dans votre registre des activités de traitement, la base juridique du transfert et la certification du sous-traitant — comme pour AWS ou tout autre prestataire à maison mère américaine. Notre dossier sur les transferts de données hors UE détaille les mécanismes mobilisables.
Prospection : un message WhatsApp est une prospection électronique
Envoyer une offre, une relance ou une newsletter par WhatsApp relève de la prospection électronique, au même titre qu’un e-mail ou un SMS. Le régime est celui de l’article L34-5 du Code des postes et des communications électroniques : pour une cible B2C, le consentement préalable est requis (opt-in), recueilli dans les conditions de l’article 7 du RGPD et de l’EDPB — libre, spécifique, éclairé et univoque. C’est d’ailleurs ce que la WhatsApp Business Platform impose techniquement, en exigeant un opt-in documenté avant tout message à l’initiative de l’entreprise.
L’exception du B2B (sollicitation de professionnels sur leur fonction, pour un objet en lien avec leur activité) existe, mais elle reste étroite et n’exonère jamais de l’obligation d’information ni du droit d’opposition. Les règles applicables sont les mêmes que celles que nous détaillons pour la prospection commerciale et le marketing par e-mail : un canal plus intime ne crée aucune dérogation. À défaut, vous vous exposez aux sanctions désormais classiques en matière de prospection non consentie.
Information, conservation, registre : le triptyque à ne pas oublier
Trois obligations ferment la boucle. L’information d’abord : vos clients doivent savoir que WhatsApp est l’un de vos canaux, quelles données y transitent et vers qui (Art. 13). Une mention dans votre politique de confidentialité et, idéalement, un message d’accueil le précisant suffisent à matérialiser cette transparence.
La conservation ensuite : une conversation WhatsApp n’a pas vocation à s’éterniser. Définissez une durée au regard de la finalité (Art. 5(1)(e)) — par exemple la durée de la relation client augmentée des délais de prescription utiles —, et purgez les échanges au-delà. Le registre enfin : WhatsApp doit y figurer (Art. 30), identifié à la fois comme outil et comme sous-traitant, avec les catégories de données échangées et la base du transfert. C’est précisément ce travail — cartographier les sous-traitants, suivre les bases de transfert, tenir les durées de conservation — que des outils comme Legiscope automatisent, là où un suivi manuel sur tableur devient vite ingérable dès qu’une organisation multiplie les canaux de contact.
Ce qu’il faut retenir
- Distinguez les outils : l’application WhatsApp Business (TPE) et la WhatsApp Business Platform (API, via fournisseur) offrent un cadre ; le WhatsApp personnel mélangé à l’usage pro est à proscrire.
- Meta Platforms Ireland est votre sous-traitant (Art. 28) pour l’acheminement, mais redevient responsable indépendant pour les métadonnées qu’il exploite à ses propres fins — une part que vous ne maîtrisez pas.
- Le chiffrement de bout en bout protège le contenu en transit, pas les métadonnées ni l’appareil : la sécurité (Art. 32) se joue aussi sur le verrouillage des terminaux et les sauvegardes cloud.
- La synchronisation du carnet de contacts transmet à Meta les numéros de tiers sans base légale ni information (Art. 6 et 14) : utilisez un profil dédié et ne synchronisez pas vos contacts.
- Un message commercial sur WhatsApp est une prospection électronique : consentement préalable en B2C (Art. 7, art. L34-5 CPCE), et transfert hors UE à documenter (DPF, Art. 44 à 49).
FAQ
WhatsApp est-il conforme au RGPD ?
WhatsApp, opéré en Europe par Meta Platforms Ireland, applique le RGPD et chiffre les messages de bout en bout. Mais aucun outil n’est « conforme » à lui seul. La conformité dépend de votre usage : application Business plutôt que compte personnel, acceptation des conditions professionnelles, absence de synchronisation du carnet de contacts, consentement pour la prospection, information des clients et tenue du registre. C’est vous, responsable de traitement, qui devez la construire et la documenter.
Peut-on utiliser WhatsApp pour prospecter des clients ?
Oui, mais sous conditions. Un message commercial envoyé par WhatsApp est une prospection électronique : il suppose le consentement préalable de la personne en B2C (art. L34-5 du CPCE et Art. 7 du RGPD), et reste soumis à l’obligation d’information et au droit d’opposition en B2B. La WhatsApp Business Platform impose d’ailleurs techniquement un opt-in documenté avant tout message à l’initiative de l’entreprise.
La synchronisation des contacts WhatsApp pose-t-elle un problème RGPD ?
Oui. En accédant à votre carnet d’adresses, WhatsApp téléverse vers Meta les numéros de vos contacts — des données personnelles de tiers transmises sans leur consentement ni information. Cette transmission exige une base légale (Art. 6) et une information au titre de l’article 14, difficiles à réunir pour un carnet professionnel. Il est recommandé d’utiliser un appareil ou un profil dédié et de ne pas synchroniser les contacts.
Où sont stockées les données échangées sur WhatsApp ?
Les données sont traitées par Meta Platforms Ireland en Europe, mais transférées vers Meta Platforms, Inc. aux États-Unis, soumise au CLOUD Act. Le transfert repose sur la certification de Meta au titre de l’EU-US Data Privacy Framework, complétée le cas échéant par des clauses contractuelles types. Il convient de documenter cette base de transfert dans votre registre.
Quelles sanctions en cas de mauvais usage de WhatsApp ?
La CNIL peut prononcer des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)). WhatsApp elle-même a été sanctionnée de 225 millions d’euros en 2021 pour défaut d’information, et Meta de 1,2 milliard en 2023 pour des transferts non conformes. Côté entreprises utilisatrices, les manquements typiques portent sur la prospection sans consentement, la synchronisation des contacts et l’absence de registre. Voir notre dossier sur les sanctions RGPD.